しばらく配布が中断されていた Crack に偽装したドロッパーマルウェアが再び活発に拡散している。このマルウェアを実行すると、同時に多数のマルウェアに感染する。いわゆるマルウェアの「爆弾」である。
商用プログラムである Crack に偽装したマルウェアの配布は「単一のマルウェア」のタイプと「ドロッパー型マルウェア」のタイプに二分され活発に拡散してきた。ASEC 分析チームでは、このようなマルウェアの配布を詳細にモニタリングしており、ブログを通じて複数回にわたり紹介してきた。
マルウェアは、検索エンジンで上位検索結果に表示される不正なサイトから配布される。攻撃者は様々なキーワードを活用して Crack のダウンロードサイトを装った多数の不正なサイトを製作しており、そのページで Download ボタン等をクリックするとマルウェアの配布ページに移動する。定期的に外形的な変化が発生しているが、パスワードにより圧縮されたファイルをダウンロードする点は常に同じである。
今年6月末頃、上記のような配布プロセスからドロッパー型マルウェアが姿を隠し、容量が異常に増加した単一のマルウェアの配布が主となった。主に CryptBot、Vidar Stealer、Raccoon Stealer(RecordBreakerStealer)が配布され、一週間あたり100個ほどの新たなハッシュのマルウェアサンプルが発生した。これまでに報告されていなかった新種のマルウェアが初めて配布され始めた事例もある。
これまで、ドロッパー型マルウェアは配布ページから直接配布されることはなかったが、他のマルウェアからダウンロードして実行されるケースでは時おり姿を見せるようになった。しかし、最近では以前のように Crack のダウンロードに偽装した配布ページを利用して活発に配布が続いている。
配布ページからダウンロードした ZIP ファイルを解凍すると「install_setup.exe」(NSIS)ファイルが生成され、このファイルを実行すると TEMP パスに「setup_installer.exe」という名前の 7z SFX ファイルを生成して実行する。この内部には10~15個のマルウェアと、これらを実行するためのローダーが存在する。結果、内部のすべてのマルウェアファイルが生成されて順番に実行されていく。このように、他のマルウェアとは異なり同時に多数のマルウェアに感染するため、特に注意しなければならない。
実行方式や内部に存在するマルウェアの種類には大きな変化はないが、配布の再開初期には内部のマルウェアが2つだけであったり、同じハッシュのマルウェアサンプルが複数個ずつ重複して存在するという特異なサンプルが多数見つかった。これまでの配布の前例からして、攻撃者のミスであるか、配布テスト目的のサンプルであると推定される。
V3 製品では、ファイル検知を通して内部に存在するマルウェアへの感染を事前に遮断するが、製品の検知ログ上ではリアルタイムチェックをオフにしたり、マルウェアを例外処理したあと実行するケースが多いことから、ユーザーの注意が必要である。
当社では、本文で紹介したマルウェアを以下の検知名で遮断している。
- Trojan/Win.Muldrop.R487182 (2022.06.12.01)
[IOC 情報]
7769efb6d572c0ae6e542ecd7cbc4ee4
8a718060c076e93578ca8fb516991fdb
c90fef418b5cc33bf216ea01897d4ad2
d622d818487ce01a3c1b727a5328e80c
fec3a3324d0bcdbef841072b91ae0eb4
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報